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(3) Verfahren zum Betrieb eines von einem Prozessor gesteuerten Systems 

@ Vorgeschlagen wird ein einfaches und kostengunstiges 
Verfahren zur Uberwachung eines insbesondere sicher- 
heitskritischen Systems. 

Hierzu wird durch Verwendung mfndestens einer Pro- 
grammroutine des Prozessors rnindestens ein Trigger- 
wert berechnet, mittels dem eine Watchdog-Einheit ruck- 
gesetzt wird. 

Verfahren zum Betrieb einer von einem Prozessor gesteu- 
erten sicherheitskritischen Bedienfunktion eines Kraft- 
fahrzeugs. 
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Beschreibung 



[0001] Die Erfindung betrifft ein Verfahren zum Betrieb 
eines von einem Prozessor gesteuerten Systems nach dem 
Oberbegriff des Patentanspruchs 1 wie es aus der 5 
DE 198 47 986 Al bekannt ist. 

[0002] Prozessorgesteuerte Systeme, bsp. durch Mikro- 
prozessoren oder Mikrocontroller gesteuerte Systeme, wer- 
den insbesondere zur Realisierung bestimmter Anwendun- 
gen eingesetzt, wie bsp. zur Realisierung vorgegebener 10 
Funktionen oder Ablaufe. Durch einen Fehler im System, 
bsp, durch eine Fehlfunktion im Prozessor oder einen Bit- 
fehler in der Speichereinheit des Systems, kann ein Anwen- 
dungsfehler auftreten, bsp. ein falscher Ablauf oder eine 
nicht beabsichtigte Funktion realisiert und ausgefuhrt wer- 15 
den. Dieses Fehlverhalten ist unerwiinscht und storend und 
muB insbesondere bei prozessorgesteuerten Systemen zur 
Realisierung sicherheitskritischer Anwendungen (bei Kraft- 
fahrzeugen bsp. den Tempomat, den Airbag oder die Lenk- 
winkelerkennung betreffende Anwendungen) ausgeschlos- 20 
sen werden. 

[0003] Um Fehlverhalten des Systems zu erkennen und/ 
oder auszuschlieBen, insbesondere bei sicherheitskritischen 
Anwendungen, konnen dem System mehrere Prozessoren 
zugeordnet werden. Hierbei konnen die Prozessoren sich ge- 25 
genseitig iiberwachen und das System auBer Funktion set- 
zen, wenn von einem Prozessor eine Fehlfunktion eines an- 
deren Prozessors erkannt wird, insbesondere wenn jedem 
der Prozessoren nur ein Teil der Anwendung zugeordnet 
wird oder wenn neben einem "Hauptprozessor" ein "Hilfs- 30 
prozessor" mit Uberwachungsaufgaben vorgesehen wird. 
Nachteilig bei diesen Mehrprozessorsystemen sind einer- 
seits die zusatzlichen Kosten und andererseits der erhohte 
Aufwand fiir Hardware. 

[0004] Beim Einprozessorsystem der gattungsbildenden 35 
DE 198 47 986 A 1 sind zur Fehleruberwachung zwei von- 
einander unabhangige dem Prozessor zugeordnete Watch- 
dog-Einheiten vorgesehen, durch die beim Feststellen eines 
Fehlers das System in einen Fehlerreaktionszustand versetzt 
wird; aufgrund der beiden Watohdog-Einheiten fallen auch 40 
hier hohe Kosten und ein erhohter Aufwand an Hardware 
an. 

[0005] Der Erfindung liegt die Aufgabe zugrunde, ein Ver- 
fahren zum Betrieb eines von einem Prozessor gesteuerten 
Systems gemaB dem Oberbegriff des Patentanspruchs 1 an- 45 
zugeben, bei dem der korrekte Betrieb des Systems, insbe- 
sondere fur sicherheitskritische Anwendungen, auf einfache 
und kostengunstige Weise uberwacht werden kann. 
[0006] Diese Aufgabe wird erfindung sgemaB durch das 
Merkmal im Kennzeichen des Patentanspruchs 1 gelost. 50 
[0007] Vorteilhafte Ausgestaltungen des Verfahrens sind 
Bestandteil der weiteren Patentanspruche. 
[0008] Der Erfindung liegt die Erkenntnis zugrunde, daB 
in vielen prozessorgesteuerten Systemen (insbesondere zur 
Realisierung sicherheitskritischer Anwendungen wie in der 55 
DE 198 47 986 Al) eine als Watchdog oder Watchdog- 
S chaining mit mindestens einem Watchdog ausgebildete 
Watchdog-Einheit vorgesehen ist, um undefinierte Zustande 
des Systems (bsp. Endlosschleifen in der Software aufgrund 
eines fehlerhaften Operationscodes) zu erkennen und durch 60 
ein Rucksetzen des Systems (einen Reset) zu beenden. 
[0009] ErfindungsgemaB muB die Watchdog-Einheit zur 
Vermeidung eines Rucksetzens (Resets) des von einem Pro- 
zessor gesteuerten Systems wahrend der Programmlaufzeit 
des Prozessors zur permanenten Uberpriifung des Prozes- 65 
sors zyklisch mit mindestens einer von mindestens einem 
Triggerwert abhangigen AusgangsgroBe beaufschlagt wer- 
den. Der mindestens eine Triggerwert wird durch Verwen- 



dung mindestens einer Programmroutine des Prozessors be- 
rechnet, insbesondere nach Durchlaufen mindestens einer 
Programmroutine des Prozessors; insbesondere wird der 
Triggerwert von der zentralen Prozessoreinheit (CPU) be- 
rechnet, d. h. die Programmroutine wird in der zentralen 
Prozessoreinheit (CPU) durchlaufen. Als von den Trigger- 
werten abhangige AusgangsgroBe kann hierbei bsp. eine 
Pulsfolge und/oder ein bestimmtes Zeitfenster und/oder ein 
Funktionswert (eine Zeichenfolge) herangezogen werden, 
die zum Rucksetzen der Watchdog-Einheit vorgesehen wer- 
den; d. h. die Watchdog-Einheit vergleicht die im Prozessor 
(insbesondere in der CPU) generierten und bsp. in eine Puls- 
folge und/oder ein Zeitfenster und/oder einen Funktionswert 
(Zeichenfolge) als AusgangsgroBe umgesetzten Trigger- 
werte mit einem intern gespeicherten Vergleichsmuster und 
wird bei einer Ubereinstimmung von AusgangsgroBen und 
Vergleichsmuster zuriickgesetzt. Somit wird der mindestens 
eine Triggerwert fur die Watchdog-Einheit und damit die 
(bsp. als Zeitfenster und/oder Funktionswert ausgebildete 
AusgangsgroBe) nicht bereits wahrend der Codierung des 
Prozessors fest vorgegeben, sondern wahrend des Betriebs 
des Prozessors standig neu berechnet; da die mindeste . 
eine Programmroutine des Prozessors zur Berechnung der 
Triggerwerte mit solchen EingangsgroBen aufgerufen wird, 
daB die aus den Triggerwerten bestimmten AusgangsgroBen 
bei korrekter Funktion des Prozessors dem Vergleichsmu- 
ster der Watchdog-Einheit entsprechen, werden beim Auf- 
treten eines Fehlers im Prozessor die aus den Triggerwerten 
bestimmten AusgangsgroBen nicht dem in der Watchdog- 
Einheit gespeicherten Vergleichsmuster entsprechen; hier- 
durch wird die Watchdog-Einheit fehlerhaft angesteuert 
(insbesondere nicht zuriickgesetzt) und erzwingt hierdurch 
einen Reset des Systems. 

[0010] Als Programmroutine zur Berechnung der Trigger- 
werte kann eine Testfunktion verwendet werden, die zumin- 
dest einen Teil der Operationen aus dem Befehlssatz der 
zentralen Prozessoreinheit (CPU) ausfuhrt, bsp. typische 
CPU-Operationen wie Additionen, Schiebeoperationen oder 
Bitmanipulationen; vorzugsweise werden hierzu alle Opera- 
tionen aus dem Befehlssatz der zentralen Prozessoreinheit 
(CPU) ausgefuhrt. Insbesondere bei prozessorgesteuerten 
Systemen zur Realisierung sicherheitskritischer Anwendun- 
gen wird als Programmroutine zur Generierung der Trigger- 
werte mindestens eine sicherheitskritische Programmrou- 
tine ganz oder zumindest teil weise durchlaufen, so daB auf 
diese Weise eine permanente Uberwachung kritischer An- 
wendungen (Funktionen oder Ablaufe) stattfindet. 
[0011] Die Watchdog-Einheit als eigenstandige Funkti- 
onseinheit des prozessorgesteuerten Systems kann hierbei 
entweder im Prozessor angeordnet sein (mit den Funktions- 
einheiten des Prozessors im Prozessor integriert werden) - 
in diesem Falle konnen die Funktionseinheiten des Prozes- 
sors (bsp. kann neben dem Watchdog und der zentralen Pro- 
zessoreinheit noch eine Recheneinheit und eine Speicher- 
einheit vorgesehen werden) iiber die Leitungen eines inter- 
nen Bussystems verkniipft werden, wobei insbesondere 
auch die Verbindung zwischen der zentralen Prozessorein- 
heit und der Watchdog-Einheit iiber das B ussy stem erfolgen 
kann - oder aber auBerhalb des Prozessors angeordnet sein, 
d. h. neben dem Prozessor eine weitere Komponente des Sy- 
stems bilden - in diesem Falle kann die Verbindung zwi- 
schen der zentralen Prozessoreinheit und der Watchdog-Ein- 
heit uber eine externe Datenleitung erfolgen. 
[0012] Vorteilh after weise kann mit dem vorgestellten Ver- 
fahren ein (insbesondere sicherheitskritisches) System und 
die korrekte Ausfuhrung der Systernfunktion ohne das Er- 
fordemis zusatzlicher Hardware und damit auf einfache und 
kostengunstige Weise uberwacht werden. 
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[0013] Im Zusammenhang mit der Zeichnung soli das 
Verfahren weiter erlautert werden. Hierbei zeigt die Figur 
ein Ausfuhrungsbeispiel der Komponenten eines als Mikro- 
controller ausgebildeten Prozessors zur Steuerung sicher- 
heitskritischer Bedienfunktionen bei einem Kraftfahrzeug. 
[0014] Der Mikrocontroller 1 als Einprozessorsystern ist 
bsp. zum Einiesen von Steuerdaten und damit zur Steuerung 
eines als Tempomat eines Kraftfahrzeugs ausgebildeten Sy- 
stems vorgesehen. Der Mikrocontroller 1 weist gemaB der 
Fig. 1 als Funktionseinheiten bsp. eine Zentrale Prozesso- 
reinheit 3 (CPU), eine Speichereinheit 4 und eine Rechen- 
einheit 6 auf; die Funktionseinheiten des Microcontrollers 1 
sind iiber die Busleitungen 7 des B ussy stems 2 zum Aus- 
tausch von Datensignalen und Steuersignalen intern mitein- 
ander verkniipft. 

[0015] Weiterhin ist im Mikrocontroller 1 ein Watchdog 5 
vorgesehen, der ebenfalls an die Busleitungen 7 des B ussy- 
stems 2 angeschlossen ist; dieser Watchdog 5 muB zyklisch 
getriggert werden, um einen Reset des Systems zu verhin- 
dem. Hierzu muB der Watchdog 5 bsp. zyklisch alle 20 ms 
innerhalb eines vorgegebenen Zeitraums (innerhalb eines 
bestimmten Zeitfensters) von bsp. 2 ms mit einer vorgege- 
benen Zeichenfolge von bsp. 55h, AA h beaufschlagt wer- 
den. Zur Realisierung der Triggering des Watchdogs 5 wer- 
den wahrend der Programmlaufzeit des Mikrocontrollers 1 
Triggerwerte TW permanent neu berechnet, indem von der 
CPU 3 des Mikrocontrollers 1 eine in der Speichereinheit 4 
des Mikrocontrollers 1 abgelegte Funktion F aufgerufen 
wird (Schritt (a)) und mittels dieser Funktion F von der CPU 
3 unter Verwendung eines bestimmten Startwerts durch Her- 
anziehen aller arithmetischen Befehle aus dem Befehlssatz 
der CPU 3 aus den berechneten Triggerwerten TW als Aus- 
gangsgroBen AG ein Zeitintervall und eine Zeichenfolge ab- 
geleitet werden. Diese AusgangsgroBen AG werden an den 
Watchdog 5 gesandt (Schritt (b)) und von diesem mit dem 35 
im Watchdog 5 gespeicherten Vergleichsmuster verglichen: 
entsprechen die AusgangsgroBen AG dem Vergleichsmu- 
ster, d. h. wird der Watchdog 5 nach 20 ms (im Zeitfenster 
zwischen 19 ms und 21 ms) mit der Zeichenfolge 55h, AAh 
beaufschlagt, wird der Watchdog 5 neu getriggert (zuriick- 40 
gesetzt); entsprechen die AusgangsgroBen AG nicht dem 
Vergleichsmuster (bsp. aufgrund eines Fehlers im Mikro- 
controller 1), d. h. wird der Watchdog 5 entweder nicht nach 
20 ms (nicht im Zeitfenster zwischen 19 ms und 21 ms) oder 
nicht mit der Zeichenfolge 55h, AAh beaufschlagt, wird der 45 
Watchdog 5 nicht neu getriggert, d. h. er wird nicht zuriick- 
gesetzt und fiihrt daher einen Reset des Systems durch. 
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4. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzeichnet, daB zur Berechnung des minde- 
stens einen Triggerwerts (TW) mindestens eine sicher- 
heitskritische Programmroutine des Prozessors (1) ver- 
wendet wird. 

5. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB in Abhangigkeit des Trig- 
gerwerts (TW) ein Zeitfenster als AusgangsgroBe (AG) 
bestimmt wird, innerhalb dessen die Watchdog-Einheit 
(5) zuriickgesetzt werden muB. 

6. Verfahren nach einem der Anspriiche 1 bis 5, da- 
durch gekennzeichnet, dafi in Abhangigkeit des Trig- 
gerwerts (TW) eine Zeichenfolge als AusgangsgroBe 
(AG) bestimmt wird, mit der die Watchdog-Einheit (5) 
beaufschlagt werden muB. 

7. Verfahren nach einem der Anspriiche 1 bis 6, da- 
durch gekennzeichnet, daB die Watchdog-Einheit (5) 
im Prozessor (1) integriert wird. 

8. Verfahren nach Anspruch 7, dadurch gekennzeich- 
net, daB die Watchdog-Einheit (5) mit den Funktions- 
einheiten (3, 4, 6) des Prozessors (1) iiber ein Bus sy- 
stem (2) verbunden wird. 



Hierzu 1 Seite(n) Zeichnungen 



Patentanspruche 

1. Verfahren zum Betrieb eines von einem Prozessor 
(1) gesteuerten Systems, bei dem eine Watchdog-Ein- 
heit (5) zur Verhinderung eines Riicksetzens des Sy- 
stems vom Prozessor (1) zyklisch zuriickgesetzt wer- 
den muB, dadurch gekennzeichnet, daB durch Ver- 
wendung mindestens einer Programmroutine des Pro- 
zessors (1) mindestens ein Triggerwert (TW) berechnet 
wird, und daB das Riicksetzen der Watchdog-Einheit 
(5) in Abhangigkeit des mindestens einen berechneten 
Triggerwerts (TW) erfolgt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB der mindestens eine Triggerwert (TW) von der 
zentralen Recheneinheit (3) des Prozessors (1) berech- 
net wird. 

3. Verfahren nach Anspruch 2, dadurch gekennzeich- 
net, daB zur Berechnung des mindestens einen Trigger- 
werts (TW) der gesamte Befehlssatz der zentralen Re- 
cheneinheit (3) des Prozessors (1) verwendet wird. 
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TI: Watchdog unit resetting method for e.g. vehicle 

applications, involves calculating trigger value which is used 
for resetting unit 

PN: DE10049440-A1 

PD: 11.04 .2002 

AB: NOVELTY - The method involves calculating a trigger value 

(TW) by using preferably, the CPU (3) of the processor (1) . The 
watchdog unit (5) , which prevents resetting the system by the 
processor is reset dependent on the calculated trigger value. 
Preferably, the watchdog unit is integrated in the processor 
and connected to the CPU, storage unit (4) and calculation unit 
(6) of the processor via a bus system (2).; USE - For processor 
controlled systems especially for security critical application, 
such as automatic speed control, airbag or steering angle 
detection. ADVANTAGE - Allows monitoring of systems in simple 
and cost-effective manner. DESCRIPTION OF DRAWING (S) - The 
drawing shows the components of a processor for controlling 
security critical functions of a vehicle. Processor 1 Bus 
system 2 CPU 3 Storage unit 4 Watchdog unit 5 Calculation unit 
6 
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